Plattform
nodejs
Komponente
@fastify/middie
Behoben in
9.3.2
9.3.2
CVE-2026-6270 describes an Authentication Bypass vulnerability in the @fastify/middie middleware library for Node.js. This flaw allows attackers to circumvent middleware security controls, potentially compromising sensitive data and system functionality. The vulnerability affects versions 0.0.0 through 9.3.2 of @fastify/middie, and a fix is available in version 9.3.2.
CVE-2026-6270 betrifft Versionen 9.3.1 und früher von @fastify/middie. Die Schwachstelle liegt in der falschen Behandlung von Middleware-Pfaden, wenn diese an Plugin-Scopes von Kind-Plugins weitergegeben werden. Wenn ein Kind-Plugin mit einem Präfix registriert wird, das sich mit einem Middleware-Pfad im Scope des Eltern-Plugins überschneidet, wird der Middleware-Pfad stillschweigend geändert, sodass er nicht mehr mit eingehenden Anfragen übereinstimmt. Dies führt zu einer vollständigen Umgehung der Middleware-Sicherheitskontrollen für alle Routen, die innerhalb der betroffenen Kind-Plugin-Scopes definiert sind, einschließlich verschachtelter (Enkel-)Scopes. Das Nichterkennen von Middleware-Pfaden kann zur Offenlegung sensibler Daten oder zur Ausführung nicht autorisierten Codes führen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein Kind-Plugin mit einem Präfix registriert, das sich mit einem vorhandenen Middleware-Pfad im Scope des Eltern-Plugins überschneidet. Dadurch könnte der Angreifer die Middleware-Sicherheitskontrollen für Routen umgehen, die innerhalb des Kind-Plugins definiert sind, und so auf geschützte Ressourcen zugreifen oder bösartigen Code ausführen. Die Ausnutzung ist wahrscheinlicher in Anwendungen, die eine komplexe Plugin-Architektur mit mehreren Kind-Plugins und überlappenden Middleware-Pfaden verwenden.
Applications built with Node.js and utilizing @fastify/middie for middleware management are at risk. This includes applications with complex plugin architectures and those relying heavily on middleware for security enforcement. Shared hosting environments where multiple applications share the same Node.js instance are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @fastify/middieCheck for versions prior to 9.3.2. • nodejs / server:
npm audit @fastify/middieRun an npm audit to identify the vulnerability. • generic web: Review application logs for unusual request patterns or errors related to middleware execution, particularly within child plugin scopes.
disclosure
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme ist das Upgrade auf Version 9.3.2 oder höher von @fastify/middie. Diese Version behebt das Problem, indem sie Middleware-Pfade korrekt behandelt, wenn sie an Plugin-Scopes von Kind-Plugins weitergegeben werden. Wenn ein sofortiges Upgrade nicht möglich ist, überprüfen Sie die Konfiguration der Kind-Plugins sorgfältig, um sicherzustellen, dass es keine überlappenden Middleware-Pfadpräfixe gibt. Es wird auch empfohlen, nach jeder Änderung der Plugin-Konfiguration gründliche Sicherheitstests durchzuführen.
Actualice a la versión 9.3.2 o superior de @fastify/middie para solucionar la vulnerabilidad. Esta actualización corrige el problema de herencia de middleware, asegurando que la autenticación se aplique correctamente a todas las rutas, incluso en plugins secundarios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
@fastify/middie ist ein Plugin für Fastify, das die Integration von Middleware vereinfacht.
Überprüfen Sie die installierte Version von @fastify/middie in Ihrem Projekt. Wenn sie kleiner als 9.3.2 ist, sind Sie potenziell betroffen.
Überprüfen Sie die Konfiguration Ihrer Kind-Plugins, um überlappende Middleware-Pfadpräfixe zu vermeiden, und führen Sie gründliche Sicherheitstests durch.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen, aber eine manuelle Überprüfung der Plugin-Konfiguration wird empfohlen.
Wenn diese Schwachstelle nicht behoben wird, kann dies zu einer Umgehung von Sicherheitskontrollen, der Offenlegung sensibler Daten und der Ausführung nicht autorisierten Codes führen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.